Malicious Docker Images in Checkmarx Supply Chain Entdeckt

Cybersecurity-Forscher haben am 24. April 2026 vor bösartigen Docker-Images gewarnt, die in das offizielle "checkmarx/kics" Repository auf Docker Hub eingeschleust wurden. Laut einer aktuellen Warnung der Software-Supply-Chain-Sicherheitsfirma Socket gelang es unbekannten Bedrohungsakteuren, bestehende Tags zu überschreiben, darunter die Versionen v2.1.20 und alpine. Zudem wurde ein neuer Tag v2.1.21 eingeführt, der nicht mit einer offiziellen Veröffentlichung übereinstimmt. Die Entdeckung dieser bösartigen Images wirft ernsthafte Fragen zur Sicherheit der Software-Lieferkette auf.

Die betroffenen Tags wurden in der Zeitspanne von April 2026 manipuliert, was darauf hindeutet, dass die Angreifer möglicherweise über umfassende Kenntnisse der Infrastruktur von Checkmarx verfügen. Socket hat die betroffenen Versionen als potenziell gefährlich eingestuft und empfiehlt Nutzern, diese sofort zu entfernen. Die Sicherheitslücke könnte erhebliche Auswirkungen auf Unternehmen haben, die auf die Integrität der Checkmarx-Software angewiesen sind. Checkmarx ist bekannt für seine Lösungen zur Sicherheitsüberprüfung von Code und zur Identifizierung von Schwachstellen in Softwareprojekten. Die Manipulation der Docker-Images könnte dazu führen, dass schadhafter Code in Produktionsumgebungen gelangt.

Socket hat in seiner Warnung auch darauf hingewiesen, dass die Angreifer möglicherweise versuchen, die Kontrolle über die Software-Umgebungen der Nutzer zu erlangen. Dies könnte durch das Einfügen von Malware oder das Ausnutzen von Schwachstellen in der Software geschehen. Die Sicherheitsfirma rät dazu, alle betroffenen Images zu überprüfen und gegebenenfalls zu löschen. Die Vorfälle sind Teil eines größeren Trends, bei dem Cyberkriminelle zunehmend auf Software-Lieferketten abzielen. Solche Angriffe sind oft schwer zu erkennen und können weitreichende Folgen haben.

Die Sicherheitsgemeinschaft hat in den letzten Jahren einen Anstieg solcher Vorfälle beobachtet, was die Notwendigkeit verstärkt, Sicherheitsmaßnahmen in der Softwareentwicklung zu implementieren. Checkmarx hat auf die Vorfälle reagiert und arbeitet daran, die Integrität seines Repositories wiederherzustellen. Das Unternehmen hat angekündigt, zusätzliche Sicherheitsmaßnahmen zu implementieren, um zukünftige Angriffe zu verhindern. Die genaue Art der Maßnahmen wurde jedoch noch nicht veröffentlicht. Die Vorfälle unterstreichen die Bedeutung von Sicherheitsüberprüfungen in der Softwareentwicklung.

Unternehmen sind angehalten, ihre Abhängigkeiten regelmäßig zu überprüfen und sicherzustellen, dass sie nur vertrauenswürdige Quellen verwenden. Socket hat betont, dass die Nutzer wachsam bleiben und ihre Systeme regelmäßig auf Anomalien überprüfen sollten. Die Sicherheitslücke betrifft nicht nur die Nutzer von Checkmarx, sondern könnte auch Auswirkungen auf andere Unternehmen haben, die ähnliche Technologien verwenden. Die Angreifer könnten versuchen, ihre Methoden auf andere Software-Repositories auszudehnen. Die Sicherheitsgemeinschaft beobachtet die Situation genau, um weitere Entwicklungen zu verfolgen.

Socket hat die Nutzer aufgefordert, ihre Systeme umgehend zu aktualisieren und alle nicht autorisierten Versionen zu entfernen. Die Sicherheitsfirma plant, in den kommenden Tagen weitere Informationen zu den Vorfällen bereitzustellen. Die genaue Anzahl der betroffenen Nutzer und Systeme ist derzeit noch unklar. Die Sicherheitslücke wurde als kritisch eingestuft, und die betroffenen Versionen sind ab sofort nicht mehr sicher. Socket empfiehlt, alle betroffenen Images zu löschen und auf offizielle Versionen zurückzugreifen.

Die Sicherheitsfirma hat bereits mit der Analyse der Vorfälle begonnen und wird die Ergebnisse in Kürze veröffentlichen. Die Vorfälle haben bereits zu einer erhöhten Aufmerksamkeit für die Sicherheit von Software-Lieferketten geführt. Unternehmen sind gefordert, ihre Sicherheitsstrategien zu überdenken und gegebenenfalls anzupassen. Die Sicherheitslücke könnte weitreichende Folgen für die gesamte Branche haben. Die Sicherheitslücke betrifft die Versionen v2.1.20 und alpine, die von den Angreifern überschrieben wurden. Die neue Version v2.1.21 ist nicht offiziell und sollte daher nicht verwendet werden.